Shiro学习第二天
紧接着上一天的学习,已经对Shiro有了一个简单的认识,接下来细细探究它的实现过程
简单的在JavaSE环境下实现shiro框架
第一步:引入jar包
为了后期能够更好的进行移植,这里面使用Maven项目也方便引入jar包
<!--shiro核心类库-->
<dependency>
<groupId>org.apache.shiro</groupId>
<artifactId>shiro-core</artifactId>
<version>1.2.3</version>
</dependency>
<!--日志工具包-->
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.6.1</version>
</dependency>
<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-api</artifactId>
<version>1.6.1</version>
</dependency>
这里面也引入log4j的依赖,方便日志的打印,如有问题便于调试。
第二步:引入创建资源文件shiro.ini
[users]
root=用户密码,用户权限
test=用户密码,用户密码
[roles]
admin=*,代表具有所有权限
test=search,add,update,代表只具有查找,添加和更新的权限
第三步:创建java类,进行测试
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
import org.apache.shiro.util.Factory;
public class ShiroJdbcTest {
public static void main(String[] args) {
//1.加载shiro的配置文件,返会一个Factory对象,管理SecurityManager
Factory<SecurityManager> factory = new IniSecurityManagerFactory("classpath:shiro-mysql.ini");
//2.获得SecurityManager对象
SecurityManager securityManager = factory.getInstance();
//3。将SecurityManager绑定到上下文中,全局绑定,只需一次
SecurityUtils.setSecurityManager(securityManager);
//4.获得与当前系统交互的对象subject
Subject subject = SecurityUtils.getSubject();
//5.进行登录,用用户名和密码进行登录,创建用户名和密码票据
UsernamePasswordToken token = new UsernamePasswordToken("admin", "123456");
//6.检验账户是否被验证过
// subject.isAuthenticated()
try {
// 7.进行登陆
subject.login(token);
if (subject.isAuthenticated()) {
System.out.println("登陆成功");
//7.判断角色
if(subject.hasRole("admin")){
System.out.println("有admin角色");
}else{
System.out.println("没有admin角色");
}
//7.判断权限
if(subject.isPermitted("search")){
System.out.println("有这个权限");
}else{
System.out.println("没有这个权限");
}
}
} catch (Exception e) {
System.out.println("用户名或密码错误,登陆失败");
}
}
}
到此为止已经实现了一个用户登录验证和权限检验的过程。
假如说我们不想使用配置文件,用纯Java又该如何实现呢???不要着急看下面,这也会使你对加载shiro的配置文件有一个清晰的认识,也是对上面Factory<SecurityManager> factory = new IniSecurityManagerFactor("classpath:shiro-mysql.ini")这段代码的一个底层实现过程。</br>如果想使用我们自己的数据源就必须实现Realm结构,并实现其方法,如下:
import org.apache.shiro.authc.AuthenticationException;
import org.apache.shiro.authc.AuthenticationInfo;
import org.apache.shiro.authc.AuthenticationToken;
import org.apache.shiro.authc.IncorrectCredentialsException;
import org.apache.shiro.authc.SimpleAuthenticationInfo;
import org.apache.shiro.authc.UnknownAccountException;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.realm.Realm;
public class MyRelam1 implements Realm{
public String getName() {
//返回数据源名字
return "myrealm1";
}
public boolean supports(AuthenticationToken token) {
//限制为只支持用户名密码验证
return token instanceof UsernamePasswordToken;
}
public AuthenticationInfo getAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
//获得用户验证信息,目前仅模拟一条数据源,后期从数据 库读取
//用户名
String username=(String)token.getPrincipal();
//密码
String password=new String((char[]) token.getCredentials());
//进行判断
if(!"test".equals(username)){
throw new UnknownAccountException();
}
if(!"123456".equals(password)){
throw new IncorrectCredentialsException();
}
//用户名,密码,数据源
return new SimpleAuthenticationInfo(username,password,getName());
}
}
在上面第一部分中,我们使用配置文件的形式进行读取,然而此时我们定义了自己的数据源,就需要将此数据源设置给SecurityManager,毕竟它就像一个大管家嘛(ps:比较恰当的比喻),后期认证和授权的时候都从里面取数据。具体实现如下:
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.authc.UsernamePasswordToken;
import org.apache.shiro.authc.pam.AtLeastOneSuccessfulStrategy;
import org.apache.shiro.authc.pam.ModularRealmAuthenticator;
import org.apache.shiro.authz.ModularRealmAuthorizer;
import org.apache.shiro.authz.permission.WildcardPermissionResolver;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.subject.Subject;
public class ShiroIniTest {
public static void main(String[] args) {
//程序启动需创建SecurityManager,下面的是默认的
DefaultSecurityManager securityManager=new DefaultSecurityManager();
//设置身份验策略为至少有一个满足
ModularRealmAuthenticator authenticator =new ModularRealmAuthenticator();
authenticator.setAuthenticationStrategy(new AtLeastOneSuccessfulStrategy());
//将身份验证策略设置给SecurityManager
securityManager.setAuthenticator(authenticator);
//设置 授权
ModularRealmAuthorizer authorizer=new ModularRealmAuthorizer();
//解析对应的字符串到Permission权限实例
authorizer.setPermissionResolver(new WildcardPermissionResolver());
//将对应的authorizer设置到 securityManager中
securityManager.setAuthorizer(authorizer);
//自定义数据源,前面是读取配置 文件
securityManager.setRealm(new MyRelam1());
//将SecurityManager绑定到上下文中,全局绑定,只需一次
SecurityUtils.setSecurityManager(securityManager);
//4.获得与当前系统交互的对象subject
Subject subject = SecurityUtils.getSubject();
//5.进行登录,用用户名和密码进行登录,创建用户名和密码票据
UsernamePasswordToken token = new UsernamePasswordToken("test", "123456");
//6.检验账户是否被验证过
// subject.isAuthenticated()
try {
// 7.进行登陆
subject.login(token);
System.out.println("登录成功");
}
catch (Exception e) {
System.out.println("用户名或密码错误,登陆失败");
}
}
}
到这里基本实现了简单的shiro认证授权的过程,也使得我对shiro框架进行登录验证,权限判断有了进一步的认识。